<!DOCTYPE html>

<html class="translated-ltr"><head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>保护文件和打印服务器</title>
<link rel="stylesheet" type="text/css" href="../C.css">
<script type="text/javascript" src="../jquery.js"></script><script type="text/javascript" src="../jquery.syntax.js"></script><script type="text/javascript" src="../yelp.js"></script>
<link type="text/css" rel="stylesheet" charset="UTF-8" href="https://translate.googleapis.com/translate_static/css/translateelement.css"></head>
<body id="home">
<!--<script src="https://ssl.google-analytics.com/urchin.js" type="text/javascript"></script><script type="text/javascript">
        _uacct = "UA-1018242-8";
        urchinTracker();
      </script><script>
      function englishPageVersion() {
        var href = window.location.href;
        if (href.slice(-1) == "/") {
                window.location = "index.html.en";
        } else {
                window.location = href.replace(/\.html.*/, ".html.en");
        }
         return false;
      }
      function browserPreferredLanguage() {
        var href = window.location.href;
        if (href.slice(-1) == "/") {
                window.location = href;
        } else {
                window.location = href.replace(/\.html.*/, ".html");
        }
        return false;
      }
      </script>--><div id="container">
<div id="container-inner">
<div id="mothership"><ul>
<li><a href="https://partners.ubuntu.com"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">伙伴</font></font></a></li>
<li><a href="https://www.ubuntu.com/support/community-support"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">支持</font></font></a></li>
<li><a href="https://community.ubuntu.com"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">社区</font></font></a></li>
<li><a href="https://www.ubuntu.com"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu.com</font></font></a></li>
</ul></div>
<div id="header">
<h1 id="ubuntu-header"><a href="https://help.ubuntu.com/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu文档</font></font></a></h1>
<ul id="main-menu">
<li><a class="main-menu-item current" href="https://help.ubuntu.com/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">官方文件</font></font></a></li>
<li><a href="https://help.ubuntu.com/community/CommunityHelpWiki"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">社区帮助Wiki</font></font></a></li>
<li><a href="https://community.ubuntu.com/t/contribute/26"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">有助于</font></font></a></li>
</ul>
</div>
<div id="menu-search"><div id="search-box">
<noscript><form action="https://www.google.com/cse" id="cse-search-box"><div>
<input type="hidden" name="cx" value="003883529982892832976:e2vwumte3fq"><input type="hidden" name="ie" value="UTF-8"><input type="text" name="q" size="21"><input type="submit" name="sa" value="Search">
</div></form></noscript><!--
<script>
                document.write('<form action="https://help.ubuntu.com/search.html" id="cse-search-box">');
                document.write('  <div>');
                document.write('    <input type="hidden" name="cof" value="FORID:9">');
                document.write('    <input type="hidden" name="cx" value="003883529982892832976:e2vwumte3fq">');
                document.write('    <input type="hidden" name="ie" value="UTF-8">');
                document.write('    <input type="text" name="q" size="21">');
                document.write('    <input type="submit" name="sa" value="Search">');
                document.write('  </div>');
                document.write('</form>');
              </script>-->
</div></div>
<div class="trails"><div class="trail">
<a href="https://help.ubuntu.com/18.04" class="trail"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu 18.04</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> &nbsp;» </font></font><a class="trail" href="../index.html" title="Ubuntu服务器指南"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu服务器指南</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> &nbsp;» </font></font><a class="trail" href="samba.html" title="桑巴"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> &nbsp;»</font></font></div></div>
<div id="cwt-content" class="clearfix content-area"><div id="page">
<div id="content">
<div class="links nextlinks">
<a class="nextlinks-prev" href="samba-printserver.html" title="打印服务器"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">上一页</font></font></a><a class="nextlinks-next" href="samba-dc.html" title="作为域控制器"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">下一页</font></font></a>
</div>
<div class="hgroup"><h1 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">保护文件和打印服务器</font></font></h1></div>
<div class="region">
<div class="contents"></div>
<div class="links sectionlinks" role="navigation"><ul>
<li class="links"><a class="xref" href="samba-fileprint-security.html#samba-security-mode" title="Samba安全模式"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba安全模式</font></font></a></li>
<li class="links"><a class="xref" href="samba-fileprint-security.html#samba-user-security" title="安全=用户"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">安全=用户</font></font></a></li>
<li class="links"><a class="xref" href="samba-fileprint-security.html#samba-share-security" title="分享安全"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">分享安全</font></font></a></li>
<li class="links"><a class="xref" href="samba-fileprint-security.html#samba-apparmor" title="Samba AppArmor简介"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba AppArmor简介</font></font></a></li>
<li class="links"><a class="xref" href="samba-fileprint-security.html#samba-security-resources" title="资源"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">资源</font></font></a></li>
</ul></div>
<div class="sect2 sect" id="samba-security-mode"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba安全模式</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      通用Internet文件系统（CIFS）网络协议</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">用户级</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">共享级</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">有两种安全 
       </font><span class="em emphasis"><font style="vertical-align: inherit;">级别</font></span><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">Samba的</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">安全模式</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> 
      实现允许更大的灵活性，提供了四种实现用户级安全性的方法和一种实现共享级别的方法：
      </font></font></p>
<div class="list itemizedlist"><ul class="list itemizedlist">
<li class="list itemizedlist">
          <p class="para">
          <span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">security = user：</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">要求客户端提供用户名和密码以连接到共享。</font><font style="vertical-align: inherit;">Samba用户帐户与系统帐户是分开的，但</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">libpam-winbind</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">  
          包将使用Samba用户数据库同步系统用户和密码。
          </font></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para">
          <span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">security = domain：</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">此模式允许Samba服务器作为主域控制器（PDC），备份域控制器（BDC）或域成员服务器（DMS）显示给Windows客户端。</font><font style="vertical-align: inherit;">有关</font><font style="vertical-align: inherit;">详细信息，</font><font style="vertical-align: inherit;">请参阅 
           </font></font><a class="xref" href="samba-dc.html" title="作为域控制器"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">作为域控制器</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。
          </font></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para">
          <span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">security = ADS：</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">允许Samba服务器作为本机成员加入Active Directory域。</font><font style="vertical-align: inherit;">有关</font><font style="vertical-align: inherit;">详细信息，
           </font><font style="vertical-align: inherit;">请参阅</font></font><a class="xref" href="samba-ad-integration.html" title="Active Directory集成"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Active Directory集成</font></font></a><font style="vertical-align: inherit;"></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para">
          <span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">security = server：</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">此模式在Samba成为成员服务器之前保留，并且由于某些安全问题不应使用。</font><font style="vertical-align: inherit;">有关</font><font style="vertical-align: inherit;">
          更多详细信息，</font><font style="vertical-align: inherit;">请参阅</font><font style="vertical-align: inherit;">Samba指南</font><font style="vertical-align: inherit;">的“ 
           </font></font><a href="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html#id349531" class="ulink" title="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html#id349531"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">服务器安全性”</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">部分。
          </font></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para">
          <span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">security = share：</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">允许客户端连接到共享而不提供用户名和密码。
          </font></font></p>
        </li>
</ul></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      您选择的安全模式取决于您的环境以及Samba服务器需要完成的任务。
      </font></font></p>
</div></div>
</div></div>
<div class="sect2 sect" id="samba-user-security"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">安全=用户</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      本节将从</font></font><a class="xref" href="samba-fileserver.html" title="文件服务器"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件服务器</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和
       </font></font><a class="xref" href="samba-printserver.html" title="打印服务器"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">打印服务器</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">重新配置Samba文件和打印服务器</font><font style="vertical-align: inherit;">，以要求进行身份验证。
      </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      首先，安装</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">libpam-winbind</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">软件包，它将系统用户同步到Samba用户数据库：
      </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo apt安装libpam-winbind</font></font></span>
</pre></div>
<div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
        <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        如果</font><font style="vertical-align: inherit;">在安装期间</font><font style="vertical-align: inherit;">选择了</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba服务器</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">任务，</font><font style="vertical-align: inherit;">
        则已</font><font style="vertical-align: inherit;">安装</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">libpam-winbind</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。
        </font></font></p>
      </div></div></div></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      编辑</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/samba/smb.conf</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，并在</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">[share]</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">部分更改：
      </font></font></p>
<div class="code"><pre class="contents "><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">    客人ok =没有
</font></font></pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      最后，重新启动Samba以使新设置生效：
      </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo systemctl restart smbd.service nmbd.service</font></font></span>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      现在，当连接到共享目录或打印机时，系统会提示您输入用户名和密码。  
      </font></font></p>
<div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
        <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        如果您选择将网络驱动器映射到共享，则可以选中</font></font><span class="quote"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">“登录时重新连接”</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">复选框，这将要求您只输入一次用户名和密码，至少在密码更改之前。
        </font></font></p>
      </div></div></div></div>
</div></div>
</div></div>
<div class="sect2 sect" id="samba-share-security"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">分享安全</font></font></h2></div>
<div class="region">
<div class="contents"><p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      有几个选项可用于增加每个共享目录的安全性。</font><font style="vertical-align: inherit;">使用 
       </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">[share]</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">示例，本节将介绍一些常用选项。
      </font></font></p></div>
<div class="sect3 sect" id="windows-networking-groups"><div class="inner">
<div class="hgroup"><h3 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">组</font></font></h3></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        组定义了一组计算机或用户，这些计算机或用户具有对特定网络资源的共同访问级别，并在控制对这些资源的访问方面提供了一定程度的粒度。</font><font style="vertical-align: inherit;">例如，如果</font><font style="vertical-align: inherit;">定义</font><font style="vertical-align: inherit;">了组 
         </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">qa</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">并包含用户</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">freda</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，
         </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">danika</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">rob</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">以及第二组
         </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">支持</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，则由用户</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">danika</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，
         </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">jeremy</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">vincent组成，</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">然后配置为允许</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">qa</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">组</font><font style="vertical-align: inherit;">访问的某些网络资源</font><font style="vertical-align: inherit;">随后允许freda，danika和rob访问，但不能访问jeremy或vincent。</font><font style="vertical-align: inherit;">自用户</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">danika同时</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> 
        属于</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">qa</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">支持</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">组，她将能够访问配置为由两个组访问的资源，而所有其他用户只能访问明确允许其所属组的资源。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        默认情况下，Samba会查找</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ etc / group中</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">定义的本地系统组，</font><font style="vertical-align: inherit;">以确定哪些用户属于哪些组。</font><font style="vertical-align: inherit;">有关在组中</font></font><a class="xref" href="user-management.html#adding-deleting-users" title="添加和删​​除用户"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">添加和删​​除用户的</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">详细信息，请参阅 
         </font><a class="xref" href="user-management.html#adding-deleting-users" title="添加和删​​除用户"><font style="vertical-align: inherit;">添加和删​​除用户</font></a><font style="vertical-align: inherit;">。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        在Samba配置文件</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/samba/smb.conf中</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">定义组时</font><font style="vertical-align: inherit;">，识别的语法是在组名前加上“@”符号。</font><font style="vertical-align: inherit;">例如，如果您希望</font><font style="vertical-align: inherit;">在</font><span class="file filename"><font style="vertical-align: inherit;">/etc/samba/smb.conf</font></span><font style="vertical-align: inherit;">的某个部分中</font><font style="vertical-align: inherit;">定义名为</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sysadmin</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">的组，则可以 
         </font><font style="vertical-align: inherit;">通过输入组名称</font><span class="em em-bold emphasis"><font style="vertical-align: inherit;">@sysadmin来实现</font></span><font style="vertical-align: inherit;">。
        </font></font><span class="file filename"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font><span class="em em-bold emphasis"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font></p>
</div></div>
</div></div>
<div class="sect3 sect" id="samba-file-permissions"><div class="inner">
<div class="hgroup"><h3 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件权限</font></font></h3></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        文件权限定义计算机或用户对特定目录，文件或文件集的显式权限。</font><font style="vertical-align: inherit;">可以通过编辑</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/samba/smb.conf</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件并指定已定义文件共享的显式权限</font><font style="vertical-align: inherit;">来定义此类权限</font><font style="vertical-align: inherit;">。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        例如，如果您已经定义了一个名为</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">share</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">的Samba共享，</font><font style="vertical-align: inherit;">并希望为</font><font style="vertical-align: inherit;">称为</font><span class="em emphasis"><font style="vertical-align: inherit;">qa</font></span><font style="vertical-align: inherit;">的用户组</font><font style="vertical-align: inherit;">提供 
         </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">只读</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">权限 
         </font><font style="vertical-align: inherit;">，但希望允许由名为</font><span class="em emphasis"><font style="vertical-align: inherit;">sysadmin</font></span><font style="vertical-align: inherit;">的组</font><font style="vertical-align: inherit;">和名为</font><span class="em emphasis"><font style="vertical-align: inherit;">vincent</font></span><font style="vertical-align: inherit;">的用户</font><font style="vertical-align: inherit;">写入共享 
         </font><font style="vertical-align: inherit;">，那么您可以编辑</font><span class="file filename"><font style="vertical-align: inherit;">/etc/samba/smb.conf</font></span><font style="vertical-align: inherit;">文件，并在</font><span class="em emphasis"><font style="vertical-align: inherit;">[share]</font></span><font style="vertical-align: inherit;">条目下添加以下条目</font><font style="vertical-align: inherit;">：
        </font></font><span class="em emphasis"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font><span class="em emphasis"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font><span class="em emphasis"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font><span class="file filename"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font><span class="em emphasis"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font></p>
<div class="code"><pre class="contents "><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">    阅读清单= @qa</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
    写清单= @sysadmin，vincent</font></font><font></font>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        另一种可能的Samba权限是声明</font><font style="vertical-align: inherit;">对特定共享资源的</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">管理</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">权限。</font><font style="vertical-align: inherit;">具有管理权限的用户可以读取，写入或修改用户已获得显式管理权限的资源中包含的任何信息。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        例如，如果要将用户</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">melissa</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">管理权限授予</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">共享</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">示例，则应编辑 
         </font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/samba/smb.conf</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">文件，并在</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">[share]</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">条目</font><font style="vertical-align: inherit;">下添加以下行 
         </font><font style="vertical-align: inherit;">：
        </font></font></p>
<div class="code"><pre class="contents "><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">    admin users = melissa
</font></font></pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        编辑</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/samba/smb.conf后</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，重新启动Samba以使更改生效：
        </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo systemctl restart smbd.service nmbd.service</font></font></span>
</pre></div>
<div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          要使</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">读取列表</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">写入列表</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">起作用，</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">不得</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">将</font><font style="vertical-align: inherit;">Samba安全模式</font><font style="vertical-align: inherit;">设置为</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">security = share</font></font></span>
          </p>
        </div></div></div></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        现在Samba已配置为限制哪些组可以访问共享目录，因此需要更新文件系统权限。
        </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        传统的Linux文件权限无法很好地映射到Windows NT访问控制列表（ACL）。</font><font style="vertical-align: inherit;">幸运的是，POSIX ACL在Ubuntu服务器上可用，提供更细粒度的控制。</font><font style="vertical-align: inherit;">例如，要在</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ srv上</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">为EXT3文件系统</font><font style="vertical-align: inherit;">启用ACL  
         </font><font style="vertical-align: inherit;">，请编辑</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ etc / fstab</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">添加 
         </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">acl</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">选项：
        </font></font></p>
<div class="code"><pre class="contents "><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">UUID = 66bcdd2e-8861-4fb0-b7e4-e61c569fe17d / srv ext3 noatime，relatime，acl 0 1
</font></font></pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        然后重新安装分区：
        </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo mount -v -o remount / srv</font></font></span>
</pre></div>
<div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          上面的示例假设</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ srv</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">在单独的分区上。</font><font style="vertical-align: inherit;">如果</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ srv</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">或您配置共享路径的任何位置是</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> partition的</font><font style="vertical-align: inherit;">一部分，则</font><font style="vertical-align: inherit;">可能需要重新启动。
          </font></font></p>
        </div></div></div></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        为了匹配上面的Samba配置，</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sysadmin</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">组将获得对</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ srv / samba / share的</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">读，写和执行权限</font><font style="vertical-align: inherit;">，</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">qa</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">组将被赋予读取和执行权限，文件将由用户名</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">melissa</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">拥有</font><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">在终端中输入以下内容：
        </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo chown -R melissa / srv / samba / share / </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo chgrp -R sysadmin / srv / samba / share / </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo setfacl -R -mg：qa：rx / srv / samba / share /</font></font></span>
</pre></div>
<div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">上面</font><font style="vertical-align: inherit;">
          的</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">setfacl</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">命令为</font><span class="file filename"><font style="vertical-align: inherit;">/ srv / samba / share</font></span><font style="vertical-align: inherit;">目录</font><font style="vertical-align: inherit;">中的所有文件</font><font style="vertical-align: inherit;">提供了</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">执行</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">权限</font><font style="vertical-align: inherit;">，您可能想要也可能不想要这些文件。
          </font></font><span class="file filename"><font style="vertical-align: inherit;"></font></span><font style="vertical-align: inherit;"></font></p>
        </div></div></div></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        现在，从Windows客户端，您应该注意到实现了新的文件权限。</font><font style="vertical-align: inherit;">有关</font><font style="vertical-align: inherit;">POSIX ACL的更多信息，</font><font style="vertical-align: inherit;">请参见 
         </font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">acl</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">setfacl</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">手册页。
        </font></font></p>
</div></div>
</div></div>
</div>
</div></div>
<div class="sect2 sect" id="samba-apparmor"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba AppArmor简介</font></font></h2></div>
<div class="region"><div class="contents">
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      Ubuntu附带</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">AppArmor</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">安全模块，它提供强制访问控制。</font><font style="vertical-align: inherit;">Samba的默认AppArmor配置文件需要根据您的配置进行调整。</font><font style="vertical-align: inherit;">有关使用AppArmor的更多详细信息，请参阅</font></font><a class="xref" href="apparmor.html" title="AppArmor的"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">AppArmor</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。
      </font></font></p>
<p class="para"><font style="vertical-align: inherit;"></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ usr / sbin / smbd</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ usr / sbin / nmbd的</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> 
      默认AppArmor配置</font><font style="vertical-align: inherit;">文件，Samba守护程序二进制文件，作为</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">apparmor-profiles</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">软件包的一部分。</font><font style="vertical-align: inherit;">要安装软件包，请在终端提示符下输入：
      </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo apt install apparmor-profiles apparmor-utils</font></font></span>
</pre></div>
<div class="note" title="注意"><div class="inner"><div class="region"><div class="contents">
        <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
        此包包含其他几个二进制文件的配置文件。
        </font></font></p>
      </div></div></div></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      默认情况下，</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">smbd</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">和</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">nmbd</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">的配置文件</font><font style="vertical-align: inherit;">处于 
       </font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">抱怨</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">模式，允许Samba在不修改配置文件的情况下工作，并且只记录错误。</font><font style="vertical-align: inherit;">要将</font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">smbd</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">配置文件置于</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">强制</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">模式，并使Samba按预期工作，需要修改配置文件以反映共享的任何目录。
      </font></font></p>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      编辑</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/etc/apparmor.d/usr.sbin.smbd</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">从文件服务器示例</font><font style="vertical-align: inherit;">添加</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">[share]的</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">信息</font><font style="vertical-align: inherit;">：
      </font></font></p>
<div class="code"><pre class="contents "><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">  / srv / samba / share / r，</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
  / srv / samba / share / ** rwkix，</font></font><font></font>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      现在将配置文件置于</font></font><span class="em emphasis"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">强制执行</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">并重新加载：
      </font></font></p>
<div class="screen"><pre class="contents "><span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">sudo aa-enforce / usr / sbin / smbd </font></font></span>
<span class="cmd command"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">cat /etc/apparmor.d/usr.sbin.smbd | </font><font style="vertical-align: inherit;">sudo apparmor_parser -r</font></font></span>
</pre></div>
<p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
      您现在应该能够正常读取，写入和执行共享目录中的文件，并且
       </font></font><span class="app application"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">smbd</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">二进制文件只能访问已配置的文件和目录。</font><font style="vertical-align: inherit;">请务必为您配置Samba以共享的每个目录添加条目。</font><font style="vertical-align: inherit;">此外，任何错误都将记录到</font></font><span class="file filename"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ var / log / syslog</font></font></span><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。  
      </font></font></p>
</div></div>
</div></div>
<div class="sect2 sect" id="samba-security-resources"><div class="inner">
<div class="hgroup"><h2 class="title"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">资源</font></font></h2></div>
<div class="region"><div class="contents"><div class="list itemizedlist"><ul class="list itemizedlist">
<li class="list itemizedlist">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          有关Samba配置的详细信息，请参阅 
           </font></font><a href="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/" class="ulink" title="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba HOWTO集合</font></font></a>
          </p>
        </li>
<li class="list itemizedlist">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          该指南也有 
           </font></font><a href="http://www.amazon.com/exec/obidos/tg/detail/-/0131882228" class="ulink" title="http://www.amazon.com/exec/obidos/tg/detail/-/0131882228"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">印刷版本</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。
          </font></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          O'Reilly的</font></font><a href="http://www.oreilly.com/catalog/9780596007690/" class="ulink" title="http://www.oreilly.com/catalog/9780596007690/"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">使用Samba</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">也是一个很好的参考。
          </font></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para">
          <a href="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html" class="ulink" title="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html"><font style="vertical-align: inherit;"></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;"> 
          Samba HOWTO Collection的</font><a href="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html" class="ulink" title="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html"><font style="vertical-align: inherit;">第18章</font></a><font style="vertical-align: inherit;">致力于安全性。
          </font></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          有关Samba和ACL的更多信息，请参阅
           </font></font><a href="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html#id397568" class="ulink" title="http://samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html#id397568"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Samba ACLs页面
          </font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。
          </font></font></p>
        </li>
<li class="list itemizedlist">
          <p class="para"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          在</font></font><a href="https://help.ubuntu.com/community/Samba" class="ulink" title="https://help.ubuntu.com/community/Samba"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu的维基桑巴</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">页。
          </font></font></p>
        </li>
</ul></div></div></div>
</div></div>
</div>
<div class="links nextlinks">
<a class="nextlinks-prev" href="samba-printserver.html" title="打印服务器"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">上一页</font></font></a><a class="nextlinks-next" href="samba-dc.html" title="作为域控制器"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">下一页</font></font></a>
</div>
<div class="clear"></div>
</div>
<div id="pagebottom"></div>
</div></div>
</div>
<div id="footer"><p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">本文档中的资料可在免费许可下获得，</font><font style="vertical-align: inherit;">有关详细信息</font><font style="vertical-align: inherit;">，请参阅</font></font><a href="https://help.ubuntu.com/legal.html"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Legal</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font></font><br><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
          有关贡献的信息，请参阅</font></font><a href="https://wiki.ubuntu.com/DocumentationTeam"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ubuntu文档团队Wiki页面</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">。</font><font style="vertical-align: inherit;">要报告此serverguide文档中</font></font><a href="https://bugs.launchpad.net/serverguide"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">的错误</font></font></a><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">，请</font><a href="https://bugs.launchpad.net/serverguide"><font style="vertical-align: inherit;">提交错误报告</font></a><font style="vertical-align: inherit;">。</font></font></p></div>
</div><div id="goog-gt-tt" class="skiptranslate" dir="ltr"><div style="padding: 8px;"><div><div class="logo"><img src="https://www.gstatic.com/images/branding/product/1x/translate_24dp.png" width="20" height="20" alt="Google 翻译"></div></div></div><div class="top" style="padding: 8px; float: left; width: 100%;"><h1 class="title gray">原文</h1></div><div class="middle" style="padding: 8px;"><div class="original-text"></div></div><div class="bottom" style="padding: 8px;"><div class="activity-links"><span class="activity-link">提供更好的翻译建议</span><span class="activity-link"></span></div><div class="started-activity-container"><hr style="color: #CCC; background-color: #CCC; height: 1px; border: none;"><div class="activity-root"></div></div></div><div class="status-message" style="display: none;"></div></div>


<div class="goog-te-spinner-pos"><div class="goog-te-spinner-animation"><svg xmlns="http://www.w3.org/2000/svg" class="goog-te-spinner" width="96px" height="96px" viewBox="0 0 66 66"><circle class="goog-te-spinner-path" fill="none" stroke-width="6" stroke-linecap="round" cx="33" cy="33" r="30"></circle></svg></div></div></body></html>